Eigene Homepage lädt Trojaner auf Rechner

#0
12.06.2007, 23:01
...neu hier

Beiträge: 5
#1 Tach auch!

Habe folgendes Problem:
Beim Besuch meiner eigenen Webside (Adresse werde ich nur auf Anfrage per PN weiter geben, damit keiner sich den Trojaner einfängt) bekomme ich von meinem Virenprogi G-Data Internet Security 2006 folgene Meldungen:

Exploit.Java.Gimsh.a und Trojan.PSW.Win32.Agent.lu Trojaner gefunden! Unter anderem springt dann eine m.exe, eine x.exe,oxpgbk.exe, nds.exe,wsvfbfy.exe und eine sokmg.exe auf (entweder unter C:\ oder C:\Windows) , alle 1221 Bytes gross.

Und IE probiert auf die Side: http//gdfcnt.info/ld/upl (extra die : weggelassen dat keiner von euch so draufklickt ;-) ) dabei zu öffnen.

Hat einer von euch schon mal davon gehört???

Gruss Renard
Seitenanfang Seitenende
13.06.2007, 13:56
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

Bitte wende Dich an Web Security für Webmaster...
http://board.protecus.de/f11.htm

Chris
Seitenanfang Seitenende
13.06.2007, 21:13
Moderator
Avatar joschi

Beiträge: 6466
#3 Wenig Infos an sich, daher eine rein spekulative Annahme.
Die Meldungen des G-Data haben wenig mit deiner Seite zu tun, sondern vermutlich damit, dass dein System auf irgendeine Weise bereits infiziert ist.
Und vermutlich werden diese Dateien auch nur aktiv wenn der IE verwendet wird (?)
Schon mal mit einem anderen Browser deine Seite aufgerufen ?
Alles in allem besser Du lässt den Rechner momentan mal gar nicht ans Netz, wenn das möglich ist.

Arbeite bitte Punkt 3 von http://board.protecus.de/t23188.htm ab und poste das Logfile.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
13.06.2007, 22:45
...neu hier

Themenstarter

Beiträge: 5
#4 Nabend Joschi!

Also mit Firefox kommt das Problem nicht, ich weiss nicht genau, aber heute kam auch keine Warnmeldung mehr, trotzdem mal die Logs... teilweise auch länger als 3 Monate zurück, da so kurz...

Danke schon mal im Voraus!!!

Gruss Renard

Logfile of HijackThis v1.99.1
Scan saved at 22:34:33, on 13.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\USBToolbox\Res.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\TomTom HOME\TomTomHOME.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\G DATA DSL-Tuning 2005\Spurenloescher\Spurenloescher.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\E_S00RP2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
F:\Toolz\Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUpKiller+DownloadManager ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000001} - C:\PROGRA~1\GDATAD~1\DSLTUN~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USBToolbox\Res.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\VIDEO_~1\TrayServer.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [G DATA Internet Spurenloescher] C:\Programme\G DATA DSL-Tuning 2005\Spurenloescher\Spurenloescher.exe -TRAY
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit DSL-Tuning 2005 downloaden - C:\Programme\G DATA DSL-Tuning 2005\IEDownload.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175025120125
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E7114A3-24E1-42D0-AB74-B37FE976B592}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG -
C:\WINDOWS\SCARDS32.EXE

12.06.2007 23:13 81.161 nvapps.xml
11.06.2007 20:30 2.206 wpa.dbl
02.06.2007 21:22 181.736 rmoc3260.dll
02.06.2007 21:22 5.632 pndx5032.dll
02.06.2007 21:22 6.656 pndx5016.dll
02.06.2007 21:22 278.528 pncrt.dll
28.05.2007 13:40 383.254 perfh009.dat
28.05.2007 13:40 53.608 perfc009.dat
28.05.2007 13:40 394.500 perfh007.dat
28.05.2007 13:40 64.598 perfc007.dat
28.05.2007 13:40 906.552 PerfStringBackup.INI
11.04.2007 09:19 6.678 thawte.bmp
11.04.2007 09:19 8.078 verisign.bmp
11.04.2007 09:19 13.038 barc.bmp
02.04.2007 14:21 428.032 swreg.exe
19.03.2007 19:08 1.160 KGyGaAvL.sys
08.03.2007 01:51 64.760 pxcpya64.exe
08.03.2007 01:51 379.640 pxwave.dll
08.03.2007 01:51 187.128 pxmas.dll
08.03.2007 01:51 129.784 pxafs.dll
08.03.2007 01:51 547.576 px.dll
08.03.2007 01:51 1.628.920 pxsfs.dll
08.03.2007 01:51 510.712 pxdrv.dll
08.03.2007 01:51 72.440 pxhpinst.exe
08.03.2007 01:51 64.760 pxinsa64.exe
03.03.2007 01:00 1.203.104 FNTCACHE.DAT
01.02.2007 06:56 823.296 divx_xx07.dll
01.02.2007 06:56 823.296 divx_xx0c.dll
01.02.2007 06:56 802.816 divx_xx11.dll
01.02.2007 06:56 639.066 DivX.dll
01.02.2007 06:55 679.936 divxdec.ax
31.01.2007 23:27 4.816 divxsm.tlb
31.01.2007 23:27 524.288 DivXsm.exe
31.01.2007 01:15 118.784 DivXCodecUpdateChecker.exe
30.01.2007 07:03 10.152 dsm_de.qm
30.01.2007 07:03 3.596.288 qt-dx331.dll
30.01.2007 06:56 73.728 dpl100.dll
30.01.2007 06:56 352.401 DivXMedia.ax
26.01.2007 03:19 116.472 pxcpyi64.exe
26.01.2007 03:19 118.520 pxinsi64.exe
26.01.2007 03:19 39.672 vxblock.dll
26.01.2007 03:18 1.044.480 libdivx.dll
26.01.2007 03:18 200.704 ssldivx.dll
26.01.2007 03:13 196.608 dtu100.dll
26.01.2007 03:13 53.248 dpuGUI10.dll
26.01.2007 03:13 593.920 dpuGUI11.dll
26.01.2007 03:13 344.064 dpus11.dll
26.01.2007 03:13 57.344 dpv11.dll
26.01.2007 03:13 294.912 dpu11.dll
26.01.2007 03:13 294.912 dpu10.dll
11.01.2007 21:01 1.350 Deutz Engine.ssp
11.01.2007 20:59 94.208 ScrUnZip.dll
09.01.2007 00:28 228 Deutz Engine.log
09.01.2007 00:28 501.760 Deutz Engine.exe
09.01.2007 00:28 15.310.852 Deutz Engine.002
09.01.2007 00:27 29.493.252 Deutz Engine.001
09.01.2007 00:27 0 Deutz Engine.mda

Verzeichnis von C:\DOKUME~1\Renard\LOKALE~1\Temp

13.06.2007 22:39 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}15119.html
13.06.2007 22:39 512 ~DFB506.tmp
13.06.2007 22:39 16.384 ~DFB4F0.tmp
13.06.2007 22:39 512 ~DFB548.tmp
13.06.2007 22:39 512 ~DFB4C4.tmp
13.06.2007 22:39 16.384 ~DFB516.tmp
13.06.2007 22:39 16.384 ~DFB40D.tmp
13.06.2007 22:39 16.384 ~DFB3E8.tmp
13.06.2007 22:39 512 ~DFB3FC.tmp
13.06.2007 22:29 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}22001.html
13.06.2007 21:06 16.384 ~DF15EC.tmp
13.06.2007 21:06 16.384 ~DFC73C.tmp
13.06.2007 21:06 512 ~DFC74E.tmp
13.06.2007 20:47 0 TWAIN.LOG
13.06.2007 20:47 2 Twain001.Mtx
13.06.2007 20:34 200 jusched.log
16 Datei(en) 103.027 Bytes
0 Verzeichnis(se), 3.493.511.168 Bytes frei

Verzeichnis von C:\WINDOWS

13.06.2007 20:40 2.060 wincmd.ini
13.06.2007 20:37 439 system.ini
13.06.2007 20:28 300.301 WindowsUpdate.log
13.06.2007 20:25 288.845 setupapi.log
13.06.2007 20:24 0 0.log
13.06.2007 20:24 159 wiadebug.log
13.06.2007 20:24 376 SCARDSRV.INI
13.06.2007 20:24 0 wiaservc.log
13.06.2007 20:24 2.048 bootstat.dat
12.06.2007 23:13 0 SCARDSRV.TMP
12.06.2007 22:31 477 wcx_ftp.ini
11.06.2007 07:31 1.409 QTFont.for
11.06.2007 07:31 54.156 QTFont.qfn
11.06.2007 07:23 116 NeroDigital.ini
07.06.2007 20:54 167 videodeLuxe.INI
04.06.2007 21:49 768 musiceditor.INI
03.06.2007 22:53 27.562 wmsetup.log
02.06.2007 21:25 1.322 mozver.dat
22.05.2007 19:37 87.040 catchme.exe
25.04.2007 23:17 312 ULEAD32.INI
08.04.2007 16:12 0 nsreg.dat
07.04.2007 10:46 3.993 ie7_main.log
07.04.2007 10:41 801 Active Setup Log.txt
07.04.2007 10:41 1.047 Active Setup Log.BAK
04.03.2007 23:32 4.458 coredw.log
04.03.2007 23:32 1.038 datawriter.log
03.03.2007 00:59 264 _delis32.ini
03.03.2007 00:59 1.521 _isenv31.ini
03.03.2007 00:59 521 _iserr31.ini
01.03.2007 20:54 670 win.ini
07.02.2007 21:28 762 wmsetup10.log
07.02.2007 20:36 6.537 mgxoschk.ini
04.01.2007 12:39 46 mxcdr.INI

Verzeichnis von C:\WINDOWS\Temp

13.06.2007 20:43 0 cteng_index.lck
13.06.2007 20:25 0 JETB36.tmp
13.06.2007 20:25 0 JET606.tmp
13.06.2007 20:25 0 JET395.tmp
13.06.2007 20:25 0 JETF79E.tmp
13.06.2007 07:22 0 cteng_index.dat
6 Datei(en) 0 Bytes
0 Verzeichnis(se), 3.493.494.784 Bytes frei

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.12.2006 16:44 367 LegitCheckControl.inf
03.03.2006 13:47 65 desktop.ini
27.08.2005 14:30 5.065 swflash.inf
14.08.2005 00:26 113.664 MsnMessengerSetupDownloader.ocx
30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf
10.06.2005 11:44 417.792 isusweb.dll
26.05.2005 04:19 291 wuweb.inf
25.07.2002 19:13 24.576 dwusplay.dll
25.07.2002 19:13 196.608 dwusplay.exe
26.03.2001 13:54 2.120 mpg4sax.inf
10 Datei(en) 760.775 Bytes
0 Verzeichnis(se), 3.493.490.688 Bytes frei

Verzeichnis von C:\

13.06.2007 22:45 0 sys.txt
13.06.2007 22:44 780 down.txt
13.06.2007 22:44 519 tmp.txt
13.06.2007 22:43 8.253 system.txt
13.06.2007 22:43 1.118 systemtemp.txt
13.06.2007 22:43 113.711 system32.txt
13.06.2007 20:24 1.610.612.736 pagefile.sys
07.02.2007 21:26 144.270 SDSSetup.log
04.01.2007 01:09 50 AUTOEXEC.BAT
10.10.2006 22:47 52.416 ASPI.LOG
04.10.2006 09:23 668 datFind.bat
17.09.2006 13:32 16 mxfilerelatedcache.mxc2
03.05.2006 19:09 195 Delapp.bat
03.03.2006 19:04 1.006 sataraidevents.log
03.03.2006 13:47 0 MSDOS.SYS
03.03.2006 13:47 0 CONFIG.SYS
03.03.2006 13:47 0 IO.SYS
03.03.2006 13:44 211 boot.ini
06.01.2005 06:00 4.952 bootfont.bin
06.01.2005 06:00 47.564 NTDETECT.COM
06.01.2005 06:00 251.184 ntldr
21 Datei(en) 1.611.239.649 Bytes
0 Verzeichnis(se), 3.493.482.496 Bytes frei
Seitenanfang Seitenende
14.06.2007, 11:59
Moderator
Avatar joschi

Beiträge: 6466
#5 Ne, ich kann nichts auffälliges sehen. Aber vl. schaut hier auch noch jemand drüber der etwas mehr Erfahrung mit Malware hat.
Überprüfe doch mal das Logfile von G-Data, ob dieser die gemeldeten Objekte entfernen konnte.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
14.06.2007, 21:03
...neu hier

Themenstarter

Beiträge: 5
#6 HIer die Log-Dateien von G-Data:


Virenprüfung mit AntiVirenKit
Version 16.0.7
Virensignaturen vom 12.06.2007
Startzeit: 12.06.2007 23:29
Engine(s): KAV-Engine (AVK 17.5347), BD-Engine (BD 17.3848)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung ausgewählter Verzeichnisse und Dateien...
Prüfe Verzeichnis C:
Zugriff verweigert: UsrClass.dat
Pfad: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert:
Pfad: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: UsrClass.dat.LOG
Pfad: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: USRCLA~1.LOG
Pfad: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: NTUSER.DAT
Pfad: C:\Dokumente und Einstellungen\LocalService
Zugriff verweigert:
Pfad: C:\Dokumente und Einstellungen\LocalService
Zugriff verweigert: ntuser.dat.LOG
Pfad: C:\Dokumente und Einstellungen\LocalService
Zugriff verweigert: NTUSER~1.LOG
Pfad: C:\Dokumente und Einstellungen\LocalService
Zugriff verweigert: UsrClass.dat
Pfad: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert:
Pfad: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: UsrClass.dat.LOG
Pfad: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: USRCLA~1.LOG
Pfad: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: NTUSER.DAT
Pfad: C:\Dokumente und Einstellungen\NetworkService
Zugriff verweigert:
Pfad: C:\Dokumente und Einstellungen\NetworkService
Zugriff verweigert: ntuser.dat.LOG
Pfad: C:\Dokumente und Einstellungen\NetworkService
Zugriff verweigert: NTUSER~1.LOG
Pfad: C:\Dokumente und Einstellungen\NetworkService
Zugriff verweigert: UsrClass.dat
Pfad: C:\Dokumente und Einstellungen\Renard\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert:
Pfad: C:\Dokumente und Einstellungen\Renard\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: UsrClass.dat.LOG
Pfad: C:\Dokumente und Einstellungen\Renard\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: USRCLA~1.LOG
Pfad: C:\Dokumente und Einstellungen\Renard\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: NTUSER.DAT
Pfad: C:\Dokumente und Einstellungen\Renard
Zugriff verweigert:
Pfad: C:\Dokumente und Einstellungen\Renard
Zugriff verweigert: ntuser.dat.LOG
Pfad: C:\Dokumente und Einstellungen\Renard
Zugriff verweigert: NTUSER~1.LOG
Pfad: C:\Dokumente und Einstellungen\Renard
Zugriff verweigert: pagefile.sys
Pfad: C:
Zugriff verweigert:
Pfad: C:
Zugriff verweigert: MountPointManagerRemoteDatabase
Pfad: C:\System Volume Information
Zugriff verweigert: MOUNTP~1
Pfad: C:\System Volume Information
Zugriff verweigert: SCARDSRV.TMP
Pfad: C:\WINDOWS
Zugriff verweigert:
Pfad: C:\WINDOWS
Zugriff verweigert: default
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert:
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert: default.LOG
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert:
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert: SAM
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert:
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert: SAM.LOG
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert:
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert: SECURITY
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert:
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert: SECURITY.LOG
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert:
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert: software
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert:
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert: software.LOG
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert:
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert: system
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert:
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert: system.LOG
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert:
Pfad: C:\WINDOWS\system32\config
Zugriff verweigert: JETA901.tmp
Pfad: C:\WINDOWS\Temp
Zugriff verweigert:
Pfad: C:\WINDOWS\Temp
Zugriff verweigert: JETAB34.tmp
Pfad: C:\WINDOWS\Temp
Zugriff verweigert:
Pfad: C:\WINDOWS\Temp
Zugriff verweigert: JETAB43.tmp
Pfad: C:\WINDOWS\Temp
Zugriff verweigert:
Pfad: C:\WINDOWS\Temp
Zugriff verweigert: JETAC2E.tmp
Pfad: C:\WINDOWS\Temp
Zugriff verweigert:
Pfad: C:\WINDOWS\Temp
Analyse vollständig durchgeführt: 13.06.2007 01:05
92197 Dateien überprüft
0 infizierte Dateien gefunden
0 verdächtige Dateien gefunden


Beim Schließen der Datei "C:\Dokumente und Einstellungen\Renard\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-57d94963-52eba0ac.zip" wurde der Virus "Exploit.Java.Gimsh.a" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
Beim Öffnen der Datei "C:\Dokumente und Einstellungen\Renard\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-57d94963-52eba0ac.zip" wurde der Virus "Exploit.Java.Gimsh.a" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
Beim Schließen der Datei "C:\Dokumente und Einstellungen\Renard\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-57d94963-7072f07a.zip" wurde der Virus "Exploit.Java.Gimsh.a" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.

Virenprüfung von Web-Inhalten

Adresse: gdfcnt.info
Virus: Trojan-PSW.Win32.Agent.lu
Status: Der Zugriff wurde verweigert.
Virenprüfung von Web-Inhalten

Adresse: gdfcnt.info
Virus: Exploit.Java.Gimsh.a
Status: Der Zugriff wurde verweigert.


Gruss Renard
Seitenanfang Seitenende
14.06.2007, 21:22
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Dein Java software ist veraltet,download jre-6-windows-i586.exe
Srcolle runter nach "Java Runtime Environment (JRE) 6u1
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei "Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde,Rechner neu starten
Installiere jetzt vom Desktop aus “jre-6-windows-i586.exe

Dan ist ein virchen wieder weg ;)
__________
MfG Argus
Seitenanfang Seitenende
14.06.2007, 21:42
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Zum "gdfcnt.info" Eigentümer ist Estdomain aus Kiev Ukraine
Haengt sich an Websites
Man kann es nur mit IE sehen,gib mal ein in Google gdfcnt.info
Die Seite selbst ist auch da,man sollte da NICHT auf klicken
Wie man sieht sind es Seiten aufgebaut mit PHPBB

http://www.phpbb.com/
__________
MfG Argus
Dieser Beitrag wurde am 14.06.2007 um 21:52 Uhr von Arnold editiert.
Seitenanfang Seitenende
15.06.2007, 06:45
...neu hier

Themenstarter

Beiträge: 5
#9 Moin!

Erstmal vielen Dank an Joschi, für deine Bemühungen!
Dann Danke an Arnold für den Tip mit Java!

Jetzt meine Frage, wie kann ich denn verhindern, dass Estdomain ihren Sch.... an meine Webside hängt??? Und wie kriege ich die wieder runter von meiner HP? Oder sollte ich diese Frage lieber im Webmaster-Bereich posten?

Gruss Renard
Seitenanfang Seitenende
15.06.2007, 10:34
Member

Beiträge: 3716
#10 hi, du musst wahrscheinlich im quellcode schauen... oder den gesammten quellcode hier posten evtl. finden wir was...
Seitenanfang Seitenende
15.06.2007, 13:10
Moderator
Avatar joschi

Beiträge: 6466
#11

Zitat

Jetzt meine Frage, wie kann ich denn verhindern, dass Estdomain ihren Sch.... an meine Webside hängt?
Ich sehe noch keinen Zusammenhang zwischen gdfcnt.info und deiner Webseite. Im Quellcode findet sich kein Hinweis auf diese Seite oder sonstige Fremdverlinkungen, mit Ausnahme des Counters und Java-Applets konnte ich ebenfalls nicht ausmachen.

An deine Seiten kann sich auch nicht einfach was "dran hängen". ;) Das passiert höchstens bei Gratis-Anbietern, die hochgeladene htm-Dokumente mit ihren Scripts für Werbung versehen.

Dein Problem liegt m. E. darin, dass dein Rechner generell eine Infektion aufweist oder aufgewiesen hat.

Zitat

springt dann eine m.exe, eine x.exe,oxpgbk.exe, nds.exe,wsvfbfy.exe und eine sokmg.exe auf (entweder unter C:\ oder C:\Windows) , alle 1221 Bytes gross.
Schau mal, ob Du diese Dateien auf der Festplatte finden kannst ?

Bestand das Problem nachvollziebar nur, wenn Du deine Seite aufgerufen hast ? Oder hat es sich schon ergeben, wenn der IE nur gestartet wurde ?

Besteht das problem denn überhaupt noch ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
15.06.2007, 16:48
...neu hier

Themenstarter

Beiträge: 5
#12 Tach auch!

Also meine Platten sind wieder sauber, dafür hatte ich schon gesorgt. Das Problem trat an 2 PCs auf und immer nur dann wenn damit auf meine Seite zugegriffen worden ist! Naja, vielleicht ist ja alles wieder gut!?!

Gruss Renard
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: